Hirdetés

2019. március 25., hétfő

Gyorskeresés

Megfertőzhetők a PC-k a Thunderbolton keresztül

  • (f)
  • (p)
Írta: | | Forrás: IT café

A Thunderclap nevű sebezhetőségek egy részére már létezik megoldás, de érdemes lehet megfontolni az interfész teljes kikapcsolását.

Az Intel három és fél éve mutatta be a harmadik generációs Thunderbolt interfészt, amely egyfajta újrakezdés volt a cég életében, hiszen megváltak a korábban sokat kritizált hátrányoktól. Többek között a legnagyobb változás, hogy a saját aljzatról áttértek az USB Type-C-re, ami segítette a terjedést. Persze nagyon sok hardverre így sem került rá, de a korábbi generációkhoz képest jelentős volt az előrelépés.

A fentiek miatt egyre inkább megéri biztonsági rések után kutatni a Thunderbolton belül, és bőven akadni problémás részekre. A. Theodore Markettos, Colin Rothwell, Allison Pearce, Peter G. Neumann, Simon W. Moore és Robert N. M. Watson friss kutatása szerint a Thunderbolt, illetve az ezen keresztül támogatott PCI Express interfész nagyon privilegizált, alacsony szintű, közvetlen memóriaelérést biztosító hozzáférést biztosít a csatlakoztatott perifériák számára, ami ezeket lényegesen több jogkörrel ruházza fel a hagyományos USB aljzathoz viszonyítva. Ha nem védett a rendszer, akkor a támadó így korlátlan memória-hozzáférést kap, vagyis gyakorlatilag képes lesz adatokat lopni az adott PC-ról, illetve akár káros szoftverek is telepíthetők a felhasználó tudtán kívül.


[+]

Az új, Thunderclap gyűjtőnevű sebezhetőségek lényegében a fentiekre építenek, ráadásul külön problémát jelent, hogy az elsődleges védvonalként élő IOMMU nem igazán működik. Utóbbi komponens biztosítaná azt, hogy az adott eszköz csak annyi erőforráshoz férjen hozzá, ami a munkájához szükséges, de a legtöbb rendszeren az IOMMU alapértelmezetten nem is aktív. A Windows 7, 8, illetve 10 Home és Pro verziója nem is támogatja, míg a nagyvállalati szintre szánt Enterprise opción belül ugyan kérhető, de eléggé limitált a hatékonysága. A Linux és FreeBSD esetében az IOMMU aktiválható, de sok disztribúción belül ezt manuálisan kell megtenni. Lényegében a macOS az egyetlen, ahol a rendszer alapértelmezetten működteti a komponenst. Persze akkor sincs minden rendben, ha az IOMMU aktív, a kutatás ugyanis számos problémát fedezett fel ilyen körülmények között is.

A sebezhetőségek egyébként nem új keletűek. Az érintett szakemberek szerint 2016-os esztendő óta együttműködnek a cégekkel ezekkel kapcsolatban, és számos javítás is készült az egyes operációs rendszerekhez. A macOS 10.12.4-es frissítése többek között védekezik egy specifikus rés ellen, de más ellen védtelen. A Windows 10 1803-as verziója kapott egy Kernel DMA Protection for Thunderbolt 3 nevű funkciót, ami bekapcsolja az IOMMU-t a Thunderbolt eszközökre, de nem a PCI Express interfészen keresztül működőkre, illetve ez a javítás csak akkor ér valamit, ha a Thunderbolt vezérlő megkapta a szükséges firmware-t is, enélkül hasztalan. A Linux esetében az Intel dolgozik az IOMMU aktiválásán a Thunderbolt eszközökre, illetve inaktiválják az ATS szolgáltatást is, de ezek majd az 5.0-s kernelben érkeznek.

Általános védekezés egyébként az Thunderbolt letiltása. Ilyenkor ugyan maga az interfész használhatósága megszűnik, de az érintett USB Type-C port még működőképes marad csak éppen Thunderbolt képességek, illetve az erre vonatkozó sebezhetőségek nélkül.

Copyright © 2000-2019 PROHARDVER Informatikai Kft.